Asignatura Datos del alumno Fecha

Informática Forense y Apellidos: Gaibor Layana

Respuesta Ante
Incidentes Nombre: Cesar Andres

Actividad I:

Adquisición de evidencias digitales

Memoria USB

Cuando vamos a realizar una captura de evidencia a un dispositivo de

almacenamiento externo debemos primero proteger la integridad de la evidencia.
Lo mas recomendable seria tener un dispositivo físico para bloquear la escritura
accidental en el dispositivo que estamos inspeccionando, sin embargo, en el ejercicio
no dispongo de este dispositivo así que me voy a ayudar con software. A través del
registro de Windows bloqueamos la escritura por los puertos USB de la máquina.
Una vez hecho esto, empezamos la adquisición de evidencia. Usamos el software FTK
Imager, que es un software forense. Al obtener las evidencia con un software
especializado, hacemos algo muy distinto a copiar y pegar archivos. Un software
especializado realiza un respaldo bit por bit de toda la información del dispositivo,
eso incluye los bits en 0, ayudando a controlar la integridad de la información
obtenida y respaldando hasta hashes de la información.
Una vez generada la imagen la herramienta nos muestra los hashes para que los
tengamos en cuenta, en el caso de una memoria externa, el formato de la imagen es
el E01 que es un formato de análisis forense.

Disco Duro en caliente

© Universidad Internacional de La Rioja (UNIR)

En este caso vamos a empezar por el borrado forense del dispositivo donde
guardaremos la información respaldada. Podríamos usar FTK para este fin .
En mi caso vamos a guardar en mismo disco duro de la laptop, ya que no cuento con
una unidad externa para realizar el guardado, pero esto debe hacerse en un
dispositivo preparado para ello.

1
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres

El software forense debe ser ejecutado en el mismo dispositivo externo, no puede

instalarse nada en el dispositivo que se va a analizar para mantener integra la
información en el mismo.
Por cuestión de tiempo y que mi disco es muy grande, he hecho un respaldo forense
de una carpeta especifica.
Memoria RAM
Con FTK Imager la adquisición de la información de la RAM es menos compleja y
puede hacerse desde la opción de la misma plataforma.
Todo debe ser guardado en el dispositivo destinado a los respaldos.

Imágenes del Proceso

Memoria USB
© Universidad Internacional de La Rioja (UNIR)

2
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres
© Universidad Internacional de La Rioja (UNIR)

3
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres
© Universidad Internacional de La Rioja (UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres
© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres

Disco Duro en caliente

© Universidad Internacional de La Rioja (UNIR)

6
Actividades
 Asignatura Datos del alumno Fecha
Informática Forense y Apellidos: Gaibor Layana
Respuesta Ante
Incidentes Nombre: Cesar Andres

Memoria RAM
© Universidad Internacional de La Rioja (UNIR)

7
Actividades